来源:自学PHP网 时间:2015-04-17 13:03 作者: 阅读:次
[导读] 简要描述:新浪微博设计缺陷,导致在知道原账号密码的情况下,即使修改密码一样可以被人取得权限发表微博,添加关注之类操作,可以参考http://www.80sec.com/session-hijackin.html详细说明...
|
简要描述:新浪微博设计缺陷,导致在知道原账号密码的情况下,即使修改密码一样可以被人取得权限发表微博,添加关注之类操作,可以参考http://www.80sec.com/session-hijackin.html 详细说明:新浪微博认证上存在缺陷,由于用户的认证是保存在
浏览器里的,用户在修改密码的时候并不会导致原有认证状态的失效,只要用户保持不退出将一直获得用户的身份 漏洞证明:开两个浏览器,一个chrome一个ie,登录之后在chrome里修改密码之后无论是chrome和ie里的用户将都不会退出,导致一个session hijacking的攻击,看起来是修改密码无效 修复方案: http://www.2cto.com/Article/200812/31068.html
作者 结界师 |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
